Acces à une machine @ip:8080

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Acces à une machine @ip:8080

Messagepar vanzetti44 » 10 Fév 2010 18:29

Bonjour

Je rencontre un pb bizarre avec IPCOP.
IPCOP 1.4.18, sans BOT, juste proxy transparent.

Je dois administré une machine distante https://@ipublique:8080

Sur ma machine derrière l'ipcop, je me loggue mais ensuite rien ne se passe.

D'un autre point d'accès internet (sans ipcop), cela fonctionne.

Meme pb avec proxy activé ou non, transparent ou non.

En quoi IPCOP poserait un pb pour accéder à une interface web de management sur le port 8080 ??

Merci de votre aide
vanzetti44
Matelot
Matelot
 
Messages: 8
Inscrit le: 21 Avr 2004 16:40

Messagepar jdh » 10 Fév 2010 19:04

Je ne crois pas que nous n'avons pas la même perception d'un firewall et de la maitrise des flux réseaux.


* IPCOP : c'est forcément avec BOT !
BOT est L'OUTIL de gestion des flux réseaux. Il doit FORCEMENT être installé AVANT tout autre addons.
En effet, les politiques par défaut d'IPCOP font que, par défaut, IPCOP a la même sécurité que n'importe quelle box !
BOT est alors là capable de définir les flux sortant, protocole/port par protocole/port.
C'est simple, c'est clair.

(Dans le cas inverse où tout est autorisé en sortie : n'importe quel PC portable, par exemple, infecté d'un vers-WORM, émet en toute tranquillité ses m.)


* Proxy :
On peut activer la fonction proxy d'ipcop. Cela signifie que le service Squid est activé.
De plus on peut activer la fonction "proxy transparent".
Quand on sait ce qu'est la "fonction transparent", on doit comprendre que cela s'applique au protocole/port tcp/80 c'est à dire http qui est dérouté vers le Squid local.
Le proxy transparent NE PEUT PAS fonctionner avec https et ftp !

* Votre cas :
Avec BOT, on autorise le réseau Green pour le protocole tcp/8080 à accéder à Red (any ?). Et ça roule.
Il n'y a aucune raison que le proxy transparent fonctionne sur un flux https puisque ce serait "man in the middle".
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar vanzetti44 » 11 Fév 2010 09:49

Sur les fonctionnalités Firewall et Squid d'IPCOP, je connais bien le principe puisque j'en ai installé plusieurs chez mes clients.

Toutefois, c'est vrai que le fait que seul l'http est renvoyé à squid en mode transparent m'avait échappé sur le coup.

Après, je me suis peut être mal exprimé sur le mot "firewall", dans notre cas, IPCOP ne filtre que les accès entrant, nous n'avons pas besoins de filtrer les accès sortant.

Ensuite, ma question peut paraitre stupide mais moi aussi je doute qu'IPCOP soit en cause dans mon pb, mais le fait est que nous, derrière ipcop, nous n'accedons pas à ce site alors que l'accès est ok ailleurs.

Je vais me coller derrière le routeur pour être sur.
vanzetti44
Matelot
Matelot
 
Messages: 8
Inscrit le: 21 Avr 2004 16:40

Messagepar jdh » 11 Fév 2010 11:14

nous n'avons pas besoins de filtrer les accès sortant


C'est exactement ce que je n'accepte jamais !

Etre pro, c'est de mettre en place un filtrage en sortie.
Enfin, c'est comme cela que je vois mon métier. Libre à chacun de voir les choses autrement.

L'avantage de tenir ferme à cette attitude, c'est que s'il y a filtrage en sortie, ce qui est autorisé est explicite (le reste est interdit), et, là, voyant 8080, il est simple d'autoriser en créant la règle utile.

Dans le cas inverse, on ne filtre pas, on se pose bien plus de question ! On a une contradiction : j'autorise tout et pourtant cela ne fonctionne pas ! Et cette contradiction suppose une recherche, bref de passer du temps.

Dans le cas du filtrage, "cela ne fonctionne pas" est la norme, on ajoute une règle, cela fonctionne. Point. Pas de question !


Bref dans le cas, je suis sec puisque tout est autorisé, il n'y a pas de raison que cela bloque. Bon courage ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 11 Fév 2010 11:33

IPCOP ne filtre que les accès entrant, nous n'avons pas besoins de filtrer les accès sortant.


Je ne suis pas certain que ce soir une question de besoin ou pas. Je suis même certain du contraire : ce n'est pas une question de besoin, c'est une nécessité absolue si l'on souhaite un minimum de sécurité. je dis bien un minimum. Cela peut sembler surprenant mais le trafic sortant est aussi dangereux que le trafic entrant. Ce point est très souvent ignoré et mal compris.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 11 Fév 2010 11:53

De façon surprenante, ccnet et moi sommes sur la même ligne. Etonnant !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité